B. SÉCURISER LE DROIT D'ACCÈS AUX DONNÉES DE CONNEXION
1. Une application des dispositions votées dans la loi relative à la lutte contre la fraude qui s'est heurtée au droit européen
L'article 14 de la loi du 23 octobre 2018 relative à la lutte contre la fraude a modifié l' article 65 quinquies du code des douanes afin de permettre aux agents de la direction générale des douanes et des droits indirects (DGDDI) spécialement habilités à cet effet d'accéder aux données de connexion dans le but de constater une infraction et d'en rechercher les auteurs ou les complices. Les infractions douanières concernées sont des « infractions graves », à savoir la contrebande de produits de stupéfiants ou d'armes, le délit de blanchiment douanier ou encore la violation d'un embargo financier.
L'article 15 de la loi relative à la lutte contre la fraude a modifié l'article L. 96 G du livre des procédures fiscales afin de prévoir le même accès aux données de connexion pour les agents de la direction générale des finances publiques (DGFiP) spécialement habilités à cet effet. Les infractions concernées appartiennent à la catégorie des « manquements graves », à savoir les activités occultes, la détention de comptes à l'étranger non déclarés, les fausses factures ou les montages destinés à induire en erreur l'administration fiscale.
Pour ces deux dispositifs, la mise en oeuvre de ce droit de communication devait être préalablement autorisée par le procureur de la République . Ils prévoyaient également la publication de décrets en Conseil d'État pour préciser les modalités de mise en oeuvre de ces droits d'accès, textes réglementaires qui n'ont jamais été publiés .
D'après les informations communiquées aux membres de la mission d'information, ces décrets avaient été présentés au Conseil d'État puis retirés, avant même qu'il ne puisse se prononcer sur leur contenu. Ils présentaient en effet de réelles fragilités au regard de très récentes décisions de la Cour de justice de l'Union européenne (CJUE) en matière d'accès aux données de connexion - intervenues après le vote de la loi relative à la lutte contre la fraude par le Parlement - et de questions encore pendantes devant elle.
A l'occasion du suivi de l'application des lois, la commission des finances a chaque année demandé à ce que davantage d'informations lui soient transmises sur les ajustements à apporter aux dispositifs et sur les travaux engagés par le Gouvernement pour s'assurer de la pleine application de ces dispositions . Elle n'avait eu, jusqu'à cette année, que très peu de retours et d'éclaircissements, alors même que les modifications portées par les articles 14 et 15 de la loi relative à la lutte contre la fraude sont les deux seules dispositions qui ne sont pas encore appliquées, près de quatre ans après l'adoption de la loi .
Le Parlement avait toutefois adopté, dans le cadre de la loi de finances initiale pour 2021 93 ( * ) , une disposition modifiant l'article L. 96 G du LPF afin de prévoir que le droit d'accès des agents de la DGFiP aux données de connexion serait désormais soumis à l'autorisation préalable d'un contrôleur des demandes de données de connexion , dont les fonctions seraient assurées par un membre du Conseil d'État ou un magistrat de la Cour de cassation. Cette rédaction reprend à l'identique celle prévue pour encadrer l'accès des agents de l'Autorité des marchés financiers (AMF) aux données de connexion.
En revanche, le dispositif prévu pour les douanes à l'article 65 quinquies du code des douanes n'avait pas été modifié : le Gouvernement avait alors répondu que ce n'était pas nécessaire puisque les infractions douanières concernées revêtaient une forte dimension pénale, confirmant de fait la place octroyée au procureur de la République dans la procédure d'autorisation préalable.
Pourtant, les deux décrets d'application n'ont toujours pas été publiés , et les dernières décisions de la CJUE pourraient remettre en cause la lecture du Gouvernement sur la conformité au droit européen de la procédure d'autorisation préalable prévue pour les douanes .
2. Prendre en compte la jurisprudence européenne pour donner leur pleine effectivité aux dispositifs d'accès aux données de connexion
Dans une décision du 6 octobre 2020 (la Quadrature du Net) 94 ( * ) , la CJUE a confirmé que le droit de l'Union s'opposait à une règlementation nationale imposant à un fournisseur de services de communications électroniques la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. En revanche, un État membre peut prévoir la conservation ciblée desdites données ainsi que leur conservation rapide 95 ( * ) dans le cadre de la lutte contre la criminalité grave et de la prévention des menaces graves 96 ( * ) .
De plus, et concernant plus spécifiquement la procédure prévue pour les agents de la Douane, le Conseil d'État avait signalé que les garanties procédurales prévues pour l'accès aux données de connexion, avec l'autorisation préalable du procureur de la République, étaient insuffisantes au regard des exigences issues du droit de l'Union européenne, qui imposent que l'autorité délivrant l'autorisation d'accès aux données de connexion soit indépendante . Or, il existe une divergence d'interprétation entre la France et la CJUE concernant le statut du procureur et son indépendance.
La Cour de justice de l'Union européenne a par ailleurs confirmé, dans des décisions ultérieures, que le ministère public était incompétent pour contrôler valablement l'accès aux données de connexion 97 ( * ) , celui-ci ne pouvant se voir reconnaître la qualité de tiers par rapport aux intérêts en cause.
En conséquence, l e dispositif mis en place doit désormais :
1) tenir compte des décisions de la CJUE, en prévoyant une procédure préalable d'autorisation d'accès aux données de connexion conforme aux exigences européennes, en réservant cet accès pour la poursuite des infractions les plus graves et en accordant la durée de conservation avec les exigences de la jurisprudence européenne ;
2) être enfin stabilisé , près de quatre ans après l'adoption de la loi relative à la lutte contre la fraude.
Dans ce contexte, il est proposé d'étendre aux agents de la Douane la procédure d'accès aux données de connexion prévue pour les agents de la DGFiP et de l'AMF, avec une autorisation préalable du contrôleur général de l'accès aux données de connexion, qui est indépendant . La DGDDI avait pu proposer que l'autorisation soit délivrée par le président du tribunal judiciaire du ressort du service douanier, mais il pourrait plutôt être envisagé d'avoir une instance unique pour traiter les demandes d'accès aux données de connexion.
Par ailleurs, compte tenu des délais constatés dans l'application de ces dispositifs et des difficultés répétées à obtenir du Gouvernement des explications sur ces délais jusqu'à cette mission d'information, le Gouvernement est également invité à publier les décrets en Conseil d'État dans un délai de six mois ou, à défaut, à informer le président et le rapporteur général des commissions des finances de l'Assemblée nationale et du Sénat des obstacles qui s'opposent encore à la publication de ces textes.
Recommandation n° 14 ( Parlement et Gouvernement ) : modifier l'article 65 quinquies du code des douanes afin de prévoir que la mise en oeuvre par les agents de la douane de leur droit de communication des données de connexion fasse l'objet d'une autorisation préalable du contrôleur des demandes de données de connexion. Publier les décrets d'application dans un délai de six mois ou, à défaut, justifier leur absence de publication.
* 93 Article 173 de la loi n° 2020-1721 du 29 décembre 2020 de finances pour 2021.
* 94 Cour de justice de l'Union européenne, arrêt La Quadrature du Net , 6 octobre 2020.
* 95 La méthode « conservation rapide » s'appuie sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale et peut être utilisée pour la poursuite d'infractions pénales (Conseil d'État, 21 avril 2021, « Données de connexion : le Conseil d'État concilie le respect du droit de l'Union européenne et l'efficacité de la lutte contre le terrorisme et la criminalité »).
* 96 La CJUE a également précisé qu'un État membre faisant face à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible peut déroger à l'obligation d'assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
* 97 Cour de justice de l'Union européenne, arrêts Prokuratuur en date du 2 mars 2021 et Dwyer en date du 5 avril 2022.